GDPR-ról szubjektíven nemcsak HR-eseknek

2018. május 16. szerda - 07:30 / piacesprofit.hu
  •    

A csapból is ez folyik és tetszik, nem tetszik, nem fogjuk tudni megkerülni és én ennek nagyon örülök. Egy újabb lépés a biztonságtudat létrehozása felé, amire már nagy szükség volt. A szívünk fele, ugyanis, a biztonság tudományáé - vélekedik a Zukunft Personal Hungary HR informatikai rendszerekkel foglalkozó szakértője, aki most Önökkel is megosztja a GDPR-el kapcsolatos gondolatait.

Background

Eredendően mérnökök vagyunk és biztonságtechnikával foglalkoztunk. Aztán elkezdtünk szoftvert fejleszteni (munkaidő-nyilvántartó egy termelővállalatnak 2002-ben), és a biztonsági tevékenységünket már egyetemi keretek között űzzük, az Óbudai Egyetemen. Kutatunk, oktatunk, szakértünk és viszünk egy intézetet [1].

– Nincs egy jó GDPR-os szakértő ismerősöd?
– Hú, de van egy nagyon jó.
– Megadod kérlek a számát?
– Bocs, de nem tehetem…”

Én idén védem a PhD-mat, a témám: Biometria alapú beléptető rendszerek alkalmazhatósága tömegtartózkodású helyeken. Kollégáimmal hackeltünk (etikusan) biometrikus, biztonsági és IT rendszereket. Volt olyan sérülékenység, amit mi tártunk fel először a világon. Részt veszünk szakértői csapatokban, multiknál kockázatelemzésben fizikai és információbiztonsági szabályzatok kialakításában. Többek között ismerjük és alkalmazzuk az ISO27001, NATO AQAP, COBIT, Common Criteria biztonsági szabványokat. Hallottunk már PCI DSS-ről és NIST 800-53-ról is. ISO 27034 és OWASP elvek alapján fejlesztjük a szoftvereinket, amiket folyamatosan sérülékenységi vizsgálatoknak vetünk és vetnek alá az ügyfeleink. [2]

Jön, jön, jön! - Kép: Pixabay

Jön, jön, jön! – Kép: Pixabay

Adattest

Tegye fel a kezét, aki tudja mi az? Az az adathalmaz, ami fogantatásunktól fogva keletkezik rólunk és rögzítésre kerül. Amikor én születtem ez még nem volt probléma. Papír-alapú orvosi jelentések, anyakönyvi kivonat, keresztelő, bölcsőde, óvoda stb. És mi történt azóta? Minden adat elektronikusan tárolódik és egyre több minden. Rólad. Rólam. A gyerekedről. Bankkártya használat, térfigyelő rendszerek, Google, Facebook (erről még lesz szó később), LinkedIn, mobiltelefon, (apropó, azt tudtad, hogy az internetszolgáltatód nem jófejségből ad neked routert, hanem azért, mert azt ő menedzseli és így folyamatosan fel tudja térképezni, hogy milyen eszközeid kapcsolódnak a hálózatodra és ezeket az adatokat jól felhasználják marketing célokra): okos TV, okos riasztórendszer, intelligens otthon, hűtő, még a szuvidáló gépem is bluetoothon kapcsolódik a telefonomra és addig nem indul el az app, amíg nem engedélyezem a GPS helymeghatározást… Az autód is GPS-t használ. A Waze, az összes Appod.

A Dropbox, Teamviewer is. Tudom most mit gondolsz. „Jó, jó, de én kis pont vagyok, hogy ellenem használják.” Igazad is van. Ja, nem. Volt. Most már ez messze nem így van. Észrevetted, hogy az Amazon/Alibaba/Ebay/Jófogás felajánl neked termékeket? A Google a keresésedre tök jó találatokat ad. Az megvan, hogy elkezded begépelni a keresést és kiegészíti a szót, a mondatot? És az, amikor a Facebook-ra belépsz, feltolja az agyad egy ismerősöd által megosztott troll hír, nekiállsz elküldeni melegebb éghajlatra, de mikor beírtad a kommentedet, átolvasod, hogy ne legyen benne helyesírási hiba és aztán kitörlöd, mert nem akarsz lealacsonyodni? Tudod, hogy a Facebook minden egyes leütött és kitörölt karakteredet logolja?

GDPR: szakítani kell a szabad-tilos szemlélettel
Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.

Gondolom az is megvan, hogy az összes nagy – és persze kicsi is – a saját adatgyűjtését kiegészíti a megvásárolható adatokkal. Meg persze a hivatalosan meg nem vásárolhatókkal is. Szerinted amikor felhívnak a szuper utazási vagy biztosítási ajánlattal, honnan van meg nekik a számod?

A jövőd

Szereted Asimovot? Én imádom. Hadd idézzek Hari Seldontól „A pszichohistória matematikai tudományág, amivel az emberi társadalmat lehetséges szimulálni, és ezzel nagy valószínűséggel meg lehet mondani tömeges emberi reakciókat, és ennek alapján a jövőt.” [3] Tudod miben tévedett? Nem az következett be, hogy annyi ember lett, hogy a mennyiség miatt statisztikailag modellezhető és előre jelezhető legyen egy társadalmi csoport viselkedése, hanem az egyénekről lett annyi adat, hogy TE VAGY ELŐREJELEZHETŐ. Tudom, mit mondasz, „ó persze, lehet, hogy mások igen, de te nem.”

Büszke vagyok arra, hogy Barabási Albert-Lászlót személyesen is ismerhetem. Szerintem Nobel díjat fog kapni, de nem akarok jósolni 😊. Na, szóval, ami most érdekes nekünk, az az, hogy csináltak egy kutatást: 500 egyetemistának rögzítették a tevékenységadatait 3 hónapig. Majd feltették az algoritmusuknak a kérdést, hogy az adott ember a következő napon egy adott órában hol lesz. Nem tudom, te hogy emlékszel az egyetemi éveidre, de én úgy, hogy akkor voltam a legszabadabb, bármit megtehettem és bármikor bárhova mehettem. Ne érts félre pénzünk nem volt, de ez nem kellett a feelinghez. Hát mindenki megdöbbent, amikor az algoritmus hozott egy 93%-os pontosságot. A 7% kivétel nélkül péntek és szombat este volt és ami a legmegdöbbentőbb 85% alatt senki nem volt. [4] [5]

Szégyellem magam, de még 2010-es előadásaimat is találtam, ahol azt mondtam, hogy nem kockázat pl. Londonban az 1,3 millió térfigyelő kamera, még akkor sem, ha rögzítjük azokat, mert egyszerűen nem tudunk mit kezdeni ezzel az információmennyiséggel. Óriásit tévedtem. Addig nem tudunk vele mit kezdeni, amíg nincs rá modellünk, amivel pl. 93% pontossággal előre jelezzük mi fog történni…. A Különvélemény megvan? [6] Sci-fi? Nézd csak: [7]

GDPR: kérdezz-felelek az adatkezelés jogalapjairól
A GDPR meghatározza az adatkezelési lehetséges jogalapjait. A GDPR 6. cikke hat lehetséges jogalapot tartalmaz azon személyes adatok kezelése tekintetében, amelyek nem tartoznak a személyes adatok különleges kategóriájába. Az Adatvédelmi Munkacsoport (WP29) 2017. november 28-án iránymutatást adott ki a hozzájárulásról. Az alábbiakban a jogalapokkal kapcsolatos kérdéseket válaszolja meg dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi iroda partnere.

Facebook

Én még iWiwen nevelkedtem, azt is imádtam. Aztán a FB legyalulta és elkezdtük azt használni. Egyet hadd kérdezzek tőled: szerinted hogyan lehet ingyenes ez a szolgáltatás, ha egyébként maga a cég benne van a világ 10 legértékesebb vállalatában? Tegyük ezt tisztába: te vagy az érték és a kapcsolataid. A bejegyzéseid, a kommentjeid, a lájkjaid, az ismerőseid és az ismerőseid tevékenységei. Mondjuk én kicsit meg vagyok sértődve, hogy kb. 100 USD-t ér az identitásom. Ezt pedig kőkeményen kiaknázzák. Marketing, értékesítési és per pillanat politikai célokra is. Trump? Brexit? És, hogy politika mentes maradjak, az megvan, hogy a 2018-as választások előtti héten hány magyar kormányzat által támogatott oldalt bannolt az FB? Rémlik a Cambridge Analytica? Kezdd itt: [8]

Hasznos mozdony vagy… (Cambridge Analytica)

És most már azt is tudjuk mennyire. Kb. 100 USD-t érsz. Mindig is érték voltál, de most már az adattested miatt jobban ismernek az algoritmusok, mint… várj csak. Mit gondolsz, mennyire ismernek? Erről tartottam itt egy előadást: [9]. Naszóval, mennyire is? 2014-ben Dr. Youyou Wo publikált egy cikket arról, hogy 86.220 Facebook résztvevővel 10 személyiségjegy alapján felvett mintegy 100 kérdéses kérdőív kitöltése után az algoritmusuk mennyire tudja megítélni a személyiséget. „10 lájk: a gép a személyiség megítélésében túlszárnyalta a munkatársat.

  • 70 lájk: a program jobban dolgozott, mint a barátok vagy a lakótársak.
  • 150 lájk: a gép jobb eredményt ért el, mint a családtagok, de a partnereket így sem győzte le.
  • 300 lájk: ennyivel már őket is”. Azóta eltelt 4 év, nem lájkoltál semmit??? [10] [11]

És akkor berágott az EU…

1995-ben elkezdték kidolgozni az adatvédelmi elveket és 2016-ban élesítették. Ugye, hogy nem hallottál róla akkor? Kaptunk 2 év haladékot, ami 2018. május 25-én lejár. Ha eddig eljutottál a gondolatmenetben, talán neked is összeáll a kép: ez az egész story rólad, rólam, a gyerekünkről és az unokáinkról szól. Tökre nem jó, ha a multik jobban ismernek, mint te magad és tudod miért nem? Mert az van, hogy ezek az algoritmusok valószínűségekkel dolgoznak, mi viszont nem. Ha azt mondom a feleségemnek, hogy következő egy hónapban 99%-os valószínűséggel otthon vagyok, mintaférj és tökéletes apa leszek, akkor ezt meg tudja ítélni? Dehogy tudja. Se ő (pedig okos lány), se én és te sem. Egyszerűen az van, hogy azt lehet megítélni, hogy pénteken elmentem a srácokkal pókerezni, de még ez sem információ. Mert az 1%-kal van nekem nagyjából 7 órányi „kimenő időm”. Megfürdetem a gyerekeket, adok puszit anyának, elindulok este 9-kor és azt gondolom, én vagyok a tökéletes férj és apa mikor hajnali 5-kor hazajövök, pedig… hát kérdezzük meg a drága nejem😊. Pedig statisztikailag nem lehetnék tökéletesebb… [12]

Otti Csaba
Personal_Hungary_Otti_CsabaA Login Autonom Employee Software egyik alapítója és ügyvezető igazgatója, emellett az Óbudai Egyetem biztonságtechnikai tanácsadója, előadója és PhD hallgatója. Fő kutatási területei a humán kontrolling, a személyek azonosítása, a munkavállalók munkájának hatékonysági kérdései, emberi tényező statisztikai mérése és előrejelzése, szociometria és hálózatelmélet, biometrikus rendszerek működése, tesztje valamint felhasználási lehetőségei, problémái. Folyamatosan bővülő szakmai tudástárának és mindennapos nagyvállalati HR tapasztalatainak köszönhetően Magyarországon és külföldön egyaránt egyedi, innovatív szoftvermegoldásokat dolgoz ki a legkomplexebb és legégetőbb HR problémákra a Login Autonom csapatával.

Szóval legyünk hálásak, hogy kontrollált intézmények szakmai szempontok alapján kiválasztott szakértői (igen, én is jelentkeztem közéjük) azon dolgoznak, hogy végül jó legyen nekünk.
Nekem meggyőződésem, hogy nem arról van szó, hogy egy termelő vállalat rögzíti-e a kékgalléros munkavállaló privát mobil számát. Az viszont komoly kérdéseket vet fel, hogy ha rögzítik, akkor Kovács16 Etelka junior HR generalista egy kedves ölelésért ki tudja-e úgy exportálni, hogy aztán remek masszázs foteleket kínáljanak a kollégáknak…

GDPR:

Végül ide is eljutottunk 😊. Szeretném leszögezni, hogy a jelenlegi rendszereitekkel is meg tudtok felelni, akár akkor is, ha minden papíron van. Az egyik kardinális kérdés például a szabadságos tömb, ami nagyon nem felel meg, de megfeleltethető, ha leszabályozod a használatát, pl. minden kitöltés után ragassza le a vezető egy fehér lappal, hogy az új igénylő ne lássa az előzőek adatait. Mondjuk 2018-ben nem tudom, hogy fogsz bevonzani Y munkavállalókat így, de tényszerűen megfelel. [13]

Mindig – és mindenhol – gondold végig a GDPR elveit:

  • Hol tárolod az adatot?
  • Ki kezeli?
  • Ki láthatja?
  • Ki változtathatja meg?
  • Milyen rendszerekbe adod át?
  • Van rá folyamatod, rendszered, hogy korlátozd és logold a hozzáféréseket?
  • Az adatokhoz hozzáférnek az EU-n kívülről?
  • Miért gyűjtitek az adatokat?
  • Beleegyezett a kolléga az adatgyűjtésbe?
  • Hogyan tájékoztatod minderről?
  • Hogyan biztosítod arról, hogy bármikor megtekintse ezeket a jogosultságokat?
  • Van rá metódusod, hogyan törlöd az adatokat?
  • Mit teszel, ha adatszivárgás történik?

Ne csak HR-esként gondolkodj, hanem ballagj el a termeléshez és beszélgess a művezetővel is. Mert neked nyilván kell a munkavállaló mobilja, de bizony a műszakvezetőnek is, mert neki kell felhívnia, ha nem jött be dolgozni. Vagy ha nem jött be, akkor valaki mást felhívni, hogy jöjjön be. És olyankor bizony gyorsan kell az ember, küldünk érte taxit. És a taxis honnan tudja hova menjen, kit keressen és hívjon fel?
ZPH_Logo_kis

Szerző:

Otti Csaba

Login Autonom Employee Software alapító/ügyvezetője

A Zukunft Personal Hungary HR informatikai rendszerek szakértője

A cikkben megjelölt hivatkozások:
  • [1] Ó. -. A. B. Intézet, „www.abibiometrics.org,” [Online].
  • [2] M. Kálmán, „https://makay.net/serulekenyseg-vizsgalat.html,” [Online].
  • [3] I. Asimov, Asimov teljes Alapítvány-Birodalom-Robot univerzuma, Szukits.
  • [4] Spektrum. [Online]. Available: http://barabasi.com/video/spektrum-behalozva-1-5-resz-hu.
  • [5] A.-L. Barabási, A hálózatok tudománya, Budapest: Libri, 2016.
  • [6] „Különvélemény,” [Online]. Available: https://port.hu/adatlap/film/tv/kulonvelemeny-minority-report/movie-46968.
  • [7] „Prediktív Police,” [Online]. Available: https://index.hu/tech/2016/02/02/prediktiv_bunmegelozes_big_data_rendorseg_kulonvelemeny/.
  • [8] „Index – Facebook -Cambridge Analytica,” [Online]. Available: https://index.hu/tech/2018/04/07/jelentes_a_purgatoriumbol/. [Hozzáférés dátuma: 07 04 2018].
  • [9] O. Csaba, Szerző, Big Data a HR-ben. [Performance]. HR Evolution, 2017.
  • [10] Y. Wu, M. Kosinski és D. Stillwell, „Computer-based personality judgments are more accurate than those made by humans,” Proceedings of the National Academy of Sciences, %1. kötet4, p. 112, 2015.
  • [11] Index, „A gép jobban ismer, mint a barátaink,” 13 01 2015. [Online]. Available: https://index.hu/tech/2015/01/13/a_gep_jobban_ismer_mint_a_barataink/.
  • [12] EU, „The History of the General Data Protection Regulation,” [Online]. Available: https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_en.
  • [13] Login, „GDPR állásfoglalás,” [Online]. Available: https://login.hu/gdpr.

Feliratkozom a(z) Cégvezetés & irányítás téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor